PT-2020-15754 · Wso2 · Wso2 Identity Server Analytics+4

Publicado

2020-08-21

Atualizado

2022-04-19

CVE-2020-24591

CVSS v3.1

6.5

Média

Vetor

AC:L/AV:N/A:H/C:H/I:N/PR:H/S:U/UI:N

Nome do software vulnerável e versões afetadas

Versões do WSO2 API Manager anteriores à 3.0.0

Versões 2.2.0 e 2.5.0 do WSO2 API Manager Analytics

Versão 2.2.0 do WSO2 API Microgateway

Versões 6.2.0 e 6.3.0 do WSO2 Enterprise Integrator

Versões do WSO2 Identity Server Analytics anteriores à 5.6.0

Descrição

A vulnerabilidade permite ataques XXE durante atualizações do EventReceiver no Console de Gerenciamento de determinados produtos WSO2.

Recomendações

Para versões do WSO2 API Manager anteriores à 3.0.0, atualize para a versão 3.0.0 ou posterior.

Para as versões 2.2.0 e 2.5.0 do WSO2 API Manager Analytics, atualize para uma versão que não seja afetada por este problema.

Para a versão 2.2.0 do WSO2 API Microgateway, atualize para uma versão que não seja afetada por este problema.

Para as versões 6.2.0 e 6.3.0 do WSO2 Enterprise Integrator, atualize para uma versão que não seja afetada por este problema.

Para as versões do WSO2 Identity Server Analytics anteriores à 5.6.0, atualize para a versão 5.6.0 ou posterior.

Correção

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

CVE-2020-24591

Wso2 Api Manager

Wso2 Api Manager Analytics

Wso2 Api Microgateway

Wso2 Enterprise Integrator

Wso2 Identity Server Analytics